Aanleiding
Dit Mobiliteits Ingenieursbureau had een grote aanbesteding gewonnen. Randvoorwaardelijk voor de gunning was het werken volgens en het behalen van een ISO 27001 certificering. Dit certificaat diende daarom in korte tijd behaald te worden. Daarnaast was het Ingenieursbureau al ISO 9001 gecertificeerd en moesten zowel de ISO 27001 als de ISO 9001 in één gezamenlijk Management systeem worden ondergebracht, om efficient te kunnen werken.
Onze aanpak
Conclusion Digital Resilience kwam met een op maat gemaakt implementatie traject voor de implementatie van de ISO 27001 norm en bijbehorende ISO 27002 maatregelenset.
GAP analyse
Allereerst werd door Conclusion een GAP analyse uitgevoerd waarbij de verbeteringen die noodzakelijk zijn om conform de ISO 27001 norm te kunnen werken, werden geïnventariseerd. Ook de relaties met het ISO 9001 management systeem werden onderzocht. In de eindrapportage en presentatie werd direct een concreet implementatieplan voorgelegd aan de directie. Hiermee kon het Ingenieursbureau de planning en effort direct goed inschatten, om het implementatietraject goed te keuren en te kunnen starten.
Implementatie
In de daarop volgende maanden werd in samenspraak met het Ingenieursbureau het Information Security Management Systeem (ISMS) vormgegeven. Conclusion organiseerde workshops, gaf 1:1 coaching aan stakeholders en leverde best practices en templates aan. Deze stelde het Ingenieursbureau in staat om direct met de juiste input, de processen, procedures en maatregelen in te richten. Conclusion faciliteerde ook in de voor het ISMS noodzakelijke Risico Analyses en Directie Beoordeling Vergaderingen. Daarnaast hielp het het Ingenieursbureau met het selecteren van een goede externe ge-accrediteerde auditor.
Interne audit
Afsluitend aan de implementatiefase voerde Conclusion een Interne Audit uit. Aan de hand van het audit rapport konden de laatste puntjes op de i worden gezet en kon daarna met een gerust hart de externe auditor worden ontvangen.
Resultaat
De externe audit verliep voorspoedig en met slechts enkele minor bevindingen werd het ISO 27001 certificaat, binnen de gestelde deadline uitgereikt. Minstens zo belangrijk is dat de organisatie nu pro-actief, gecontroleerd en risico gedreven werkt aan het veilig houden van de data van de organisatie en haar klanten.